KHO:2024:115 — Dataskydd

‍Finska diplomater hade varit föremål för cyberspionage genom ett spionprogram som man hade lyckats installera obemärkt i användarens telefon utan åtgärder av användaren. Spionprogrammet hade möjliggjort ett mycket omfattande utnyttjande av informationen i telefonen och dess egenskaper.

I ärendet skulle avgöras huruvida utrikesministeriet som personuppgiftsansvarig hade anmält den av cyberspionaget med hjälp av spionprogrammet orsakade personuppgiftsincidenten till dataskyddsombudsmannen och de registrerade inom de tidsfrister som föreskrivs i art. 33 och 34 i den allmänna dataskyddsförordningen.

$bc

Avseende art. 33 som gäller anmälan till dataskyddsombudsmannen hänvisade högsta förvaltningsdomstolen till bestämmelserna i dataskyddslagen och offentlighetslagen om att utlämna och få sekretessbelagda uppgifter. Högsta förvaltningsdomstolen ansåg, att det i bedömningen av om den personuppgiftsansvarige i sin anmälan om personuppgiftsincidenten till dataskyddsombudsmannen hade iakttagit de föreskrivna tidsfristerna saknade betydelse, om det i den anmälan som görs till tillsynsmyndigheten ingick sekretessbelagda uppgifter. Anmälan hade fördröjts och det framgick inte att fördröjningen hade varit befogad enligt art. 33 i den allmänna dataskyddsförordningen.

Avseende art. 34 som gäller information till den registrerade ansåg högsta förvaltningsdomstolen att sekretessbestämmelserna i offentlighetslagen skulle anses vara specialbestämmelser i förhållande till den allmänna dataskyddsförordningens bestämmelse om skyldigheten att informera. I sin bedömning av tidpunkten för den i artikeln avsedda informeringen skulle den personuppgiftsansvarige beakta huruvida informeringen samtidigt innebär att sekretessbelagda uppgifter yppas till de registrerade.

Med beaktande av de intressen i anslutning till Finlands internationella förhållanden och statens säkerhet som 24 § 1 mom. 2, 7 och 9 punkterna i offentlighetslagen skyddar, kunde man anse att utrikesministeriet i enlighet med art. 34.1 i den allmänna dataskyddsförordningen utan onödigt dröjsmål hade informerat om personuppgiftsincidenten till de registrerade, vars uppgifter fanns i den telefonen där man hade lyckats installera spionprogrammet.

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) art. 2.2 a-b, art. 4.12, art. 33.1-4, art. 34 och art. 58.2 b

Dataskyddslagen 1 §, 2 § 1 och 3 mom., 8 § 1 mom. och 18 § 1 mom.

Lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen) 24 § 1 mom. 2, 7 och 9 punkten samt 29 § 1 mom. 1 punkten

Ärendet har avgjorts av justitieråden Anne E. Niemi, Janne Aer, Petri Helander, Monica Gullans och Juha Lavapuro. Föredragande Mikko Rautamaa.

Suomalaisiin diplomaatteihin oli kohdistettu verkkovakoilua vakoiluhaittaohjelmalla, joka oli pystytty tuomaan käyttäjän puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä. Vakoiluohjelma oli voinut mahdollistaa hyvin laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön.

Asiassa oli ratkaistavana, oliko rekisterinpitäjä ulkoministeriö ilmoittanut tapahtuneesta vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille yleisen tietosuoja-asetuksen 33 ja 34 artikloissa säädettyjen aikarajojen mukaisesti.

$118

Tietosuojavaltuutetulle tehtävää ilmoitusta koskevan 33 artiklan osalta korkein hallinto-oikeus viittasi salassapidettävien tietojen luovuttamista ja saamista koskeviin tietosuojalain ja julkisuuslain säännöksiin ja katsoi, ettei salassapidettävien tietojen sisältymisellä valvontaviranomaiselle tehtävään ilmoitukseen ollut merkitystä arvioitaessa, oliko rekisterinpitäjä noudattanut säädettyjä aikarajoja ilmoittaessaan tietoturvaloukkauksesta tietosuojavaltuutetulle. Ilmoittaminen oli viivästynyt eikä ilmennyt, että viivästymiselle olisi ollut yleisen tietosuoja-asetuksen 33 artiklassa tarkoitettu aiheellinen peruste.

Rekisteröidylle tehtävää ilmoitusta koskevan 34 artiklan osalta korkein hallinto-oikeus katsoi, että julkisuuslain salassapitosäännöksiä oli pidettävä erityissäännöksinä suhteessa tietosuoja-asetuksen ilmoitusvelvollisuutta koskevaan säännökseen. Artiklassa tarkoitetun ilmoituksen antamisajankohtaa arvioidessaan rekisterinpitäjän tuli ottaa huomioon, merkitsisikö ilmoituksen antaminen samalla salassa pidettävien tietojen ilmaisemista rekisteröidyille.

Kun otettiin huomioon julkisuuslain 24 §:n 1 momentin 2, 7 ja 9 kohdilla suojatut Suomen kansainvälisiin suhteisiin ja valtion turvallisuuteen liittyvät intressit, ulkoministeriön voitiin katsoa ilmoittaneen henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetysti ilman aiheetonta viivytystä niille rekisteröidyille, joiden tietoja oli sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 2 artikla 2 kohta a ja b alakohta, 4 artikla 12 kohta, 33 artikla 1, 2, 3 ja 4 kohta, 34 artikla ja 58 artikla 2 kohta b alakohta

Tietosuojalaki 1 §, 2 § 1 ja 3 momentti, 8 § 1 momentti ja 18 § 1 momentti

Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki) 24 § 1 momentti 2, 7 ja 9 kohta ja 29 § 1 momentti 1 kohta

Päätös, jota muutoksenhaku koskee

Helsingin hallinto-oikeus 18.12.2023 nro 7408/2023

Korkeimman hallinto-oikeuden ratkaisu

Korkein hallinto-oikeus myöntää ulkoministeriölle valitusluvan ja tutkii asian.

1. Valitus hylätään siltä osin kuin se kohdistuu hallinto-oikeuden päätökseen hylätä ulkoministeriön valitus apulaistietosuojavaltuutetun päätöksestä siltä osin kuin viimeksi mainittu päätös koskee yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästymistä ja tästä viivästymisestä annettua huomautusta. Hallinto-oikeuden päätöksen lopputulosta ei tältä osin muuteta.

Asian tausta

(1)

on 24.1.2022 tehnyt tietosuojavaltuutetulle yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun ilmoituksen henkilötietojen tietoturvaloukkauksesta. Ilmoituksen mukaan suomalaisiin diplomaatteihin on kohdistettu verkkovakoilua NSO Groupin Pegasus -vakoiluhaittaohjelmalla, joka oli pystytty tuomaan käyttäjän puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä. Vakoiluohjelma on voinut mahdollistaa hyvin laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön. Ministeriö on ilmoituksen mukaan selvittänyt kysymyksessä olevaa Suomen ulkomailla työskentelevään lähetettyyn henkilökuntaan kohdistunutta tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana.

(2)

on 16.3.2022 antanut tietosuojavaltuutetulle selvityksen yleisen tietosuoja-asetuksen 33 ja 34 artiklassa tarkoitettujen ilmoitusten tekemisen ajankohdista.

(3)

on päätöksessään 23.3.2022 katsonut, että rekisterinpitäjä ulkoministeriö ei ole noudattanut yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaista valvontaviranomaiselle tehtävää ilmoitusta koskevaa 72 tunnin aikarajaa eikä esittänyt sanotussa artiklankohdassa tarkoitettua perusteltua selitystä henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle tehtävän ilmoituksen myöhästymisestä. Edelleen päätöksessä on katsottu, että rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 34 artiklan 1 kohtaa, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Koska ulkoministeriö ei ole noudattanut toiminnassaan yleisen tietosuoja-asetuksen 33 ja 34 artikloja, apulaistietosuojavaltuutettu on antanut ministeriölle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.

(4)

on muutoksenhaun kohteena olevalla päätöksellään, järjestettyään asiassa suullisen käsittelyn, hylännyt ulkoministeriön valituksen apulaistietosuojavaltuutetun päätöksestä. Hallinto-oikeuden päätöksen perusteluina on lausuttu muun ohella seuraavaa:

Yleisen tietosuoja-asetuksen soveltaminen

(5) Hallinto-oikeus toteaa, että yleinen tietosuoja-asetus ei lähtökohtaisesti tule sen 2 artiklan 2 kohdan a alakohdan ja johdanto-osan perustelukappaleen 16 perusteella sovellettavaksi kansalliseen ulko- ja turvallisuuspolitiikkaan liittyvään henkilötietojen käsittelyyn. Tietosuojalain 2 §:n 1 momentissa on kuitenkin laajennettu yleisen tietosuoja-asetuksen soveltamista siten, että asetusta sovelletaan myös sellaiseen henkilötietojen käsittelyyn, joka jää asetuksen 2 artiklan 2 kohdan a alakohdan perusteella asetuksen soveltamisen ulkopuolelle. Tietosuojalain esitöiden mukaan edellä mainittu yleisen tietosuoja-asetuksen soveltamisalan laajentaminen ei koskisi tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty.

$11f

Tietoturvaloukkauksesta ilmoittaminen rekisteröidyille

(7) Hallinto-oikeus katsoo, että kysymyksessä oleva henkilötietojen tietoturvaloukkaus, joka on kohdistunut Suomen ulkomailla olevan edustuston käytössä oleviin mobiililaitteisiin, aiheuttaa yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla todennäköisesti korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Ulkoministeriö on suullisessa käsittelyssä tarkemmin esittämällään tavalla ilmoittanut tietoturvaloukkauksesta henkilökohtaisesti verkkovakoilun kohteena olevalle kohdehenkilölle ja tämän henkilön lähipiirille sekä edustuston työntekijöille.

(8) Hyökkäyksen kohdistuessa henkilöiden mobiililaitteisiin kyseinen vakoiluohjelma on voinut käsitellä myös laitteen tietosisällössä mainittujen muiden henkilöiden tietoja. Tällaisille henkilöille ei saadun selvityksen perusteella ole henkilökohtaisesti ilmoitettu tapahtuneesta, vaan ulkoministeriö on 28.1.2022 julkaissut verkkosivuillaan tiedotteen asiasta.

(9) Apulaistietosuojavaltuutettu on katsonut, ettei ulkoministeriö ole noudattanut yleisen tietosuoja-asetuksen 34 artiklan 1 kohtaa, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Apulaistietosuojavaltuutettu on lausunnossaan tuonut esiin, että tietosuojavaltuutetun ulkoministeriöltä saaman suullisen selvityksen ja tietoturvaloukkausta koskevan ilmoituksen sekä ulkoministeriön kotisivuilla olevan tiedotteen mukaan loukkaus on tapahtunut jo vuoden 2021 aikana. Tietoturvaloukkauksesta tiedon saamisen ja rekisteröidylle tehtävän ilmoituksen välissä on lausunnon mukaan ollut aika, jota voidaan pitää erityisesti tietoturvaloukkauksen syynä olevan haittaohjelman luonteen ja rekisteröityjen aseman ulkoministeriön ulkomailla työskentelevinä virkamiehinä huomioon ottaen liian pitkänä.

$120

Huomautus

(11) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan jokaisella valvontaviranomaisella on toimivaltuudet antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia.

(12) Hallinto-oikeus toteaa, ettei ulkoministeriö ole ilmoittanut tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 33 artiklan 1 kohdassa edellytetyllä tavalla 72 tunnin kuluessa valvontaviranomaiselle eli tietosuojavaltuutetulle eikä myöskään ole esittänyt sellaista selitystä, jonka perusteella artiklassa mahdollistettu vaiheittainen ilmoittaminen ei olisi ollut mahdollista. Ilmoitus on tehty vasta 24.1.2022. Hallinto-oikeus on myös edellä todetulla tavalla katsonut, ettei kaikille rekisteröidyille ole ilmoitettu tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklassa edellyttämässä määräajassa. Näin ollen hallinto-oikeus katsoo, että apulaistietosuojavaltuutetulla on ollut edellytykset antaa ulkoministeriölle asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus 33 ja 34 artikloiden rikkomisen vuoksi.

Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa

(13)

on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä, ja on valituksessaan vaatinut, että hallinto-oikeuden ja apulaistietosuojavaltuutetun päätökset kumotaan kokonaisuudessaan tai ainakin väitettyä yleisen tietosuoja-asetuksen 34 artiklan vastaista menettelyä koskevin osin. Vaatimusten tueksi on esitetty muun ohella seuraavaa:

(14) Ulkoministeriölle on annettu huomautus tietoturvaloukkausta koskevien ilmoitusvelvollisuuksien laiminlyönnistä, vaikka yleinen tietosuoja-asetus ei suoraan sovellu ulko- ja turvallisuuspolitiikkaan. Tällöin myöskään asetuksen 33 ja 34 artiklan mukaiset ilmoitusvelvollisuudet eivät sovellu käsillä olevaan tilanteeseen.

(15) Yleisen tietosuoja-asetuksen soveltamisalaa ei myöskään ole kansallisesti laajennettu siten, että ilmoitusvelvollisuudet tällä perusteella soveltuisivat. Tietosuojalain 2 §:n 3 momentissa on ensinnäkin säädetty poikkeuksesta pykälän 1 momentin mukaiseen soveltamisalalaajennukseen. Lisäksi julkisuuslain 24 §:n 1 momentin 1, 2, 7 ja 9 kohdat ovat sellaista erityislainsäädäntöä, jotka saavat etusijan suhteessa tietosuojalain 2 §:n yleislakina tehtyyn laajennukseen. Ainakin tietosuojalain 2 §:n kansallinen laajennus, sanotun pykälän 3 momentin mukainen poikkeus siihen sekä julkisuuslain salassapitosäännökset muodostavat sellaisen kokonaisuuden, jota on tulkittava yhdessä ja yhdenmukaisesti. Käsillä olevassa tilanteessa on kyse tiedoista, jotka ovat salassapidon kohteena ainakin, kunnes tiedon julkistamiseen liittyvä kansallisen turvallisuuden tai ulkopolitiikan hoitamiseen liittyvä uhka väistyy esimerkiksi ajan kulumisen ja/tai tiedon vanhentumisen myötä.

(16) Ministeriö myöntää, ettei se ole tehnyt yleisen tietosuoja-asetuksen 33 artiklan mukaista viranomaisilmoitusta lainkohdassa edellytetyssä 72 tunnin määräajassa. Viranomaisilmoitusta koskevan huomautuksen osalta asia ratkeaa siten sen mukaan, soveltuuko asetuksen 33 artikla lainkaan.

(17) Tilanne ei kuitenkaan ole sama yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidyille annettavan ilmoituksen osalta. Ensinnäkin tietoturvaloukkaus on tullut sen välittömänä kohteena oleville henkilöille tietoon välittömästi, kun ministeriö on saanut asiasta tiedon. Toiseksi, sikäli kuin tietoturvaloukkauksen kohteena olleiksi rekisteröidyiksi katsotaan myös muita murron kohteena olevassa laitteessa jollakin tapaa mainittuja henkilöitä, ministeriö on tiedottanut tilanteesta kotisivuillaan 28.1.2022.

(18) Yleisen tietosuoja-asetuksen 34 artiklan aikamääre ”ilman aiheetonta viivästystä” on tulkinnalle avoin ja sallii tilannekohtaiset ja intressipunnintaan perustuvat tulkinnat. Jos artiklan katsotaan soveltuvan, olisi ensiarvoisen tärkeää, että ulkoministeriölle jää riittävä mahdollisuus vaihteluun julkisten tiedotteiden aikatauluttamisessa. Julkinen tiedottaminen jo itsessään vaarantaa Suomen ulko- ja turvallisuuspoliittiset edut, kun vihamielinen valtio voi sen avulla helposti päätellä, mitkä sen vakoiluyrityksistä on havaittu ja mitkä ei. Tämä taas puolestaan sallisi vihamielisen valtion kohdistavan vakoiluaan Suomen etujen vastaisella tavalla. Asetuksen 34 artiklan viittausta ”aiheettomaan viivästykseen” on tulkittava niin, että Suomen valtion ulko- ja turvallisuuspoliittisten intressien turvaamiseen tarvittava väliaika vakoilutapauksen ja sitä koskevan julkisen tiedottamisen välillä ei ole ”aiheeton”. Ministeriön on siten katsottava menetelleen asetuksen 34 artiklan sallimissa puitteissa.

(19)

on lausunnossaan todennut, että tietosuojalain 2 §:n 1 momentissa yleisen tietosuoja-asetuksen soveltamisalaa ei ole rajattu siten, että kansalliset salassapitoa koskevat säännökset voisivat saada etusijan asetuksen säännöksiin nähden. Tietosuojalailla on säädetty yleisen tietosuoja-asetuksen soveltamisalan laajennuksesta ilman poikkeuksia, joten asetus tulee sellaisenaan täysimääräisesti sovellettavaksi rekisterinpitäjän toimintaan.

(20)

on vastauksessaan todennut, että tietosuojasääntely soveltuu käsillä olevassa tapauksessa enintään täysin kansallisena oikeutena, ei unionin oikeutena.

Korkeimman hallinto-oikeuden ratkaisun perustelut

Kysymyksenasettelu

(21) Ratkaistavana on, onko rekisterinpitäjä ulkoministeriö ilmoittanut tapahtuneesta vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidyille yleisen tietosuoja-asetuksen 33 ja 34 artikloissa säädettyjen aikarajojen mukaisesti.

(23) Jos nimittäin mainittuja artikloja sovelletaan täysin kuten unionin oikeutta yleensä, sovellettavaksi tulevat myös unionioikeuden oikeusvaikutuksia koskevat yleiset oikeusperiaatteet, kuten etusijaperiaate. Jos taas yleistä tietosuoja-asetusta sovelletaan kansallisesti laajennetulla soveltamisalalla kuten kansallista lainsäädäntöä, arvioitavaksi tulee täysimääräisesti muun ohella se, mikä merkitys julkisuuslaille ja erityisesti sen salassapitoa koskeville säännöksille tulee antaa suhteessa tietosuoja-asetuksessa säädettyyn tietoturvaloukkausta koskevaan ilmoittamisvelvollisuuteen ja sitä koskeviin määräaikoihin. Tämä kysymys liittyy sekä 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen mahdollista viivästymistä koskevaan että 34 artiklassa tarkoitetun rekisteröidylle annettavan ilmoituksen mahdollista viivästymistä koskevaan tarkasteluun.

Sovellettavat oikeusohjeet

Yleinen tietosuoja-asetus (luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679)

(24) Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan mukaan tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b) jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

(—).

(25) Yleisen tietosuoja-asetuksen johdanto-osan 16 kohdan mukaan tämä asetus ei koske unionin oikeuden soveltamisalaan kuulumattomia perusoikeuksien ja -vapauksien suojeluun tai henkilötietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, kuten kansallista turvallisuutta koskevia toimia. Tämä asetus ei koske henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimia.

(26) Yleisen tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan tässä asetuksessa tarkoitetaan ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

$128

$129

$12a

$12b

(31) Yleisen tietosuoja-asetuksen johdanto-osan 87 kohdan mukaan olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi. Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset. Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.

(32) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

(—)

b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

Tietosuojalaki

(33) Tietosuojalain 1 §:n mukaan tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista.

(34) Tietosuojalain 2 §:n 1 momentin mukaan tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. Pykälän 3 momentin mukaan tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa.

(35) Tietosuojalain 8 §:n 1 momentin mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.

(36) Tietosuojalain 18 §:n 1 momentin mukaan sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot.

Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki)

(37) Julkisuuslain 24 §:n 1 momentin mukaan salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä:

2) muut kuin 1 kohdassa tarkoitetut asiakirjat, jotka koskevat Suomen suhteita toiseen valtioon tai kansainväliseen järjestöön, asiakirjat, jotka liittyvät kansainvälisessä lainkäyttö- tai tutkintaelimessä tai muussa kansainvälisessä toimielimessä käsiteltävään asiaan, ja asiakirjat, jotka koskevat Suomen valtion, Suomen kansalaisten, Suomessa oleskelevien henkilöiden tai Suomessa toimivien yhteisöjen suhteita toisen valtion viranomaisiin, henkilöihin tai yhteisöihin, jos tiedon antaminen niistä aiheuttaisi vahinkoa tai haittaa Suomen kansainvälisille suhteille tai edellytyksille toimia kansainvälisessä yhteistyössä;

7) henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista;

9) suojelupoliisin ja muiden viranomaisten asiakirjat, jotka koskevat valtion turvallisuuden ylläpitämistä, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna valtion turvallisuutta;

(38) Julkisuuslain 29 §:n 1 momentin 1 kohdan mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty.

Oikeudellinen arviointi ja johtopäätökset

Yleisen tietosuoja-asetuksen soveltaminen ja julkisuuslain säännösten merkitys

(39) Yleistä tietosuoja-asetusta ei asetuksen 2 artiklan 2 kohdan a alakohdan mukaan sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan eikä b alakohdan mukaan henkilötietojen käsittelyyn, jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Asetuksen soveltamisalan ulkopuolelle jää siten esimerkiksi kansalliseen turvallisuuteen ja unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvä henkilötietojen käsittely.

(40) Tietosuojalain 2 §:n 1 momentilla yleisen tietosuoja-asetuksen soveltamisala on kuitenkin Suomessa kansallisesti laajennettu koskemaan sellaista henkilötietojen käsittelyä, jota suoritetaan asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. Nyt käsillä olevassa henkilötietojen tietoturvaloukkauksesta ilmoittamista koskevassa kansalliseen turvallisuuteen ja ulkopolitiikkaan kytkeytyvässä asiassa sovelletaan siten yleistä tietosuoja-asetusta, jollei muualla laissa toisin säädetä.

(41) Unionin oikeuden estämättä yleisen tietosuoja-asetuksen soveltamisalan kansallinen laajennus olisi voitu toteuttaa siten, että asetuksen 33 ja 34 artiklan säännöksiä henkilötietojen tietoturvaloukkauksesta ilmoittamisesta ei sovelleta kansalliseen turvallisuuteen ja ulkopolitiikkaan liittyvissä yhteyksissä. Näin ei tietosuojalaissa kuitenkaan ole säädetty eikä myöskään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetusta laissa säädetystä seuraa, että edellä mainitut yleisen tietosuoja-asetuksen artiklat eivät nyt käsillä olevassa asiassa tulisi sovellettaviksi.

(42) Asiassa on seuraavaksi arvioitava, sovelletaanko yleisen tietosuoja-asetuksen 33 ja 34 artikloita nyt käsillä olevassa asiassa unionin oikeuden oikeusvaikutuksin vai kuten kansallista lainsäädäntöä. Unionin oikeuden oikeusvaikutuksiin kuuluu muun ohella se, että sillä on ristiriitatilanteissa etusija kansalliseen lainsäädäntöön nähden.

(43) Ensinnäkin voidaan todeta, että yleisessä tietosuoja-asetuksessa on nimenomaisella säännöksellä rajattu asetuksen soveltamisalan ulkopuolelle kansalliseen turvallisuuteen ja unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvä henkilötietojen käsittely. Yleisen tietosuoja-asetuksen soveltamisalan laajennus on siten toteutettu sellaisella kansallisella lainsäädäntötoimella, jota asetuksessa ei ole miltään osin edellytetty tehtävän.

(44) Mainitulla tietosuojalain 2 §:n 1 momentti säätäen toteutetulla lainsäädäntötoimella on myös pidätetty kansalliselle lainsäätäjälle toimivalta supistaa yleisen tietosuoja-asetuksen soveltamisalan kansallista laajennusta, koska momentissa on nimenomaisesti viitattu mahdollisuuteen säätää asiasta lailla toisin.

(45) Toisin säätämisen mahdollisuus osoittaa, että yleisen tietosuoja-asetuksen soveltamisalaa ei ole laajennettu kansallisesti ”suoraan ja ehdottomasti”. Tältä osin voidaan todeta unionin tuomioistuimen oikeuskäytännöstä (kuten tuomiosta 13.3.2019 asiassa C-635/17,

) ilmenevän, että se on katsonut toimivaltaansa kuuluvan ratkaista ennakkoratkaisupyyntö sellaisissa tapauksissa, joissa siitä huolimatta, että pääasian tosiseikat eivät suoraan kuulu unionin oikeuden soveltamisalaan, unionin oikeussääntöjä sovelletaan kansallisen oikeuden nojalla unionin oikeussääntöjen sisältöön tehdyn viittauksen vuoksi. Edellytyksenä kuitenkin on ollut, että unionin säännöstä sovelletaan kysymyksessä olevaan tilanteeseen kansallisen oikeuden perusteella ”suoraan ja ehdottomasti”. Sen sijaan tilanteissa, joissa unionin oikeussäännössä säädetään nimenomaisesti sen soveltamisalan ulkopuolelle jäävistä tapauksista ja joissa unionin oikeuden säännöksen kansallista soveltamisalaa ei ole laajennettu tälle alueelle ”suoraan ja ehdottomasti”, ei unionilla ole unionin tuomioistuimen mukaan intressiä valvoa tällaisen oikeussäännön yhdenmukaista tulkintaa. (ks. tuomio 18.10.2012 asiassa C-583/10,

).

(46) Edellä lausutun perusteella korkein hallinto-oikeus katsoo, että yleisen tietosuoja-asetuksen 33 ja 34 artiklat tulevat nyt käsillä olevassa asiassa sovellettaviksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Mainituilla artikloilla ei siten ole tällä puhtaasti kansallisella soveltamisalalla unionin oikeuden oikeusvaikutuksia, kuten etusijaa kansalliseen lainsäädäntöön nähden.

(47) Tästä seuraa se, että mainittuja artikloita sovellettaessa tulee täysimääräisesti ottaa huomioon muukin kansallinen lainsäädäntö, kuten julkisuuslain säännökset.

Yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästyminen ja tästä viivästymisestä annettu huomautus

(48) Nyt kysymyksessä olevasta, vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta voidaan arvioida todennäköisesti aiheutuneen luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin. Tällaisesta tietoturvaloukkauksesta rekisterinpitäjän on yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on edellä mainitun asetuksenkohdan mukaan toimitettava valvontaviranomaiselle perusteltu selitys. Sanotun artiklan 4 kohdan mukaan, jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

(49) Viranomainen voi julkisuuslain 29 §:n 1 momentin 1 kohdan mukaan antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Tietosuojavaltuutetulla on tietosuojalain 18 §:n 1 momentin mukaan oikeus saada salassapitosäännösten estämättä tehtäviensä hoidon kannalta tarpeelliset tiedot. Mainituista säännöksistä johtuu, että vaikka henkilötietojen tietoturvaloukkausta koskeva ilmoitus tulisikin sisältämään salassa pidettäviä tietoja, tällä seikalla ei ole merkitystä yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaisten ilmoittamisen aikarajojen noudattamista ja perustellun selityksen aiheellisuutta arvioitaessa eikä artiklan 4 kohdassa tarkoitetun tietojen vaiheittaisen toimittamisen edellytyksiä arvioitaessa.

(50) Rekisterinpitäjä ulkoministeriö on ilmoittanut henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle 24.1.2022. Ilmoituksen mukaan ministeriö on selvittänyt kysymyksessä olevaa tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana, joten tietoturvaloukkauksen on katsottava tulleen ministeriölle ilmi huomattavasti aikaisemmin kuin se ilmoituksen oli tehnyt. Tietoturvaloukkauksesta ilmoittamisen on katsottava viivästyneen eikä asiassa ole ilmennyt, että viivästymiselle olisi ollut aiheellinen peruste.

(51) Edellä lausutun vuoksi hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei ole perusteita siltä osin kuin ulkoministeriön valitus apulaistietosuojavaltuutetun päätöksestä on hylätty siltä osin kuin viimeksi mainittu päätös koskee yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästymistä ja tästä viivästymisestä asetuksen 58 artiklan 2 kohdan b alakohdan perusteella annettua huomautusta (korkeimman hallinto-oikeuden ratkaisun kohta 1.).

Yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidylle tehtävän ilmoituksen viivästyminen ja tästä viivästymisestä annettu huomautus

(52) Nyt kysymyksessä olevasta, vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta voidaan arvioida todennäköisesti aiheutuneen korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tällaisesta tietoturvaloukkauksesta rekisterinpitäjän on yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan ilmoitettava rekisteröidylle ilman aiheetonta viivytystä. Asiassa ei ole ilmennyt, että käsillä olisi sanotun artiklan 3 kohdan a tai b alakohdissa tarkoitettuja edellytyksiä tietoturvaloukkauksesta ilmoittamatta jättämiselle.

(53) Rekisterinpitäjän ulkoministeriön ilmoittaman mukaan tietoturvaloukkaus on tullut sen välittömänä kohteena oleville henkilöille tietoon välittömästi ministeriön saatua asiasta tiedon. Ulkoministeriön on tältä osin katsottava noudattaneen yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan vaatimusta tietoturvaloukkauksesta ilmoittamisesta rekisteröidylle ilman aiheetonta viivytystä.

(54) Yleisen tietosuoja-asetuksen 34 artiklassa tarkoitettuina rekisteröityinä on lisäksi pidettävä niitä henkilöitä, joiden tietoja on sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan. Näille henkilöille tietoturvaloukkauksesta ei ole ilmoitettu henkilökohtaisesti, vaan ulkoministeriö on tältä osin viitannut siihen, että se on 28.1.2022 tiedottanut tilanteesta kotisivullaan. Kuten edeltä ilmenee, ministeriö on selvittänyt kysymyksessä olevaa tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana, joten tietoturvaloukkauksen on katsottava tulleen ministeriölle ilmi huomattavasti aikaisemmin kuin se oli tiedottanut tilanteesta kotisivullaan.

(55) Tieto ulkoministeriöön kohdistuneesta verkkovakoilusta tai vakoilun paljastumisesta saattaa kunkin yksittäisen asian olosuhteista riippuen olla vahinkoedellytyslausekkeet sisältävien julkisuuslain 24 §:n 1 momentin 2, 7 ja/tai 9 kohtien perusteella salassa pidettävä. Yleisen tietosuoja-asetuksen 34 artiklan 2 kohdan mukaisista rekisteröidylle annettavan ilmoituksen sisältövaatimuksista puolestaan johtuu, että ilmoitukseen tulisi vastaavasti mahdollisesti sisällyttää salassa pidettäviä tietoja.

(56) Korkein hallinto-oikeus katsoo, että julkisuuslain salassapitosäännöksiä on pidettävä erityissäännöksinä yleisen tietosuoja-asetuksen 34 artiklassa säädettyyn nähden nyt käsillä olevassa tilanteessa, jossa mainittu artikla tulee sovellettavaksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Tästä seuraa se, että artiklassa tarkoitetun ilmoituksen antamisajankohtaa arvioidessaan rekisterinpitäjän tulee ottaa huomioon, merkitsisikö ilmoituksen antaminen samalla salassa pidettävien tietojen ilmaisemista rekisteröidyille.

(57) Kun otetaan huomioon edellä mainituilla salassapitosäännöksillä suojatut Suomen kansainvälisiin suhteisiin ja valtion turvallisuuteen liittyvät intressit, ulkoministeriön voidaan siitä huolimatta, että se on julkaissut edellä tarkoitetun tiedotteen kotisivullaan vasta 28.1.2022, katsoa ilmoittaneen henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetysti ilman aiheetonta viivytystä niille rekisteröidyille, joiden tietoja on sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan.

(58) Edellä lausutun vuoksi hallinto-oikeuden ja apulaistietosuojavaltuutetun päätökset on kumottava siltä osin kuin niissä on kysymys yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidylle tehtävän ilmoituksen viivästymisestä ja tästä viivästymisestä asetuksen 58 artiklan 2 kohdan b alakohdan perusteella annetusta huomautuksesta (korkeimman hallinto-oikeuden ratkaisun kohta 2.).

Asian ovat ratkaisseet oikeusneuvokset Anne E. Niemi, Janne Aer, Petri Helander, Monica Gullans ja Juha Lavapuro. Asian esittelijä Mikko Rautamaa.

Ulkoministeriö

Apulaistietosuojavaltuutettu

Helsingin hallinto-oikeus

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Marja Viima, Anna-Kristiina Karikko ja Nina Tuominen, joka on myös esitellyt asian.

E.

Nolan